ต้องการสมหวังในสิ่งใดต้องทำให้ผู้อื่นสมหวังในสิ่งที่ต้องการก่อน
เวิร์ม Conficker
User Rating: / 2
PoorBest 

ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์

มี รายงานว่าเวิร์ม W32/Conflicker หรือที่โปรแกรมป้องกันไวรัสบางตัวเรียกว่า W32/Downadup.AL โจมตีระบบวินโดวส์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ซึ่งไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067?เพื่อปิดช่องโหว่ดังกล่าวนี้ตั้งแต่วันที่ 23 เดือนตุลาคมปี 2551 ที่ผ่านมาแล้ว



การระบาดของเวิร์ม W32/Conflicker
ส่วนหนึงเกิดจากยังมีเครื่องคอมพิวเตอร์เป็นจำนวนมากที่ยังไม่ได้ทำการแพตช์ และในสายพันธุ์ล่าสุดของไวรัส W32/Conflicker นั้น สามารถทำการโจมตีระบบได้ถึงแม้ว่าระบบนั้นจะทำการแพตช์แล้วก็ตาม โดยมีการประมาณการว่ามีเครื่องคอมพิวเตอร์ที่โดนโจมตีแล้วไม่ต่ำกว่า 9 ล้านเครื่อง

รายละเอียดของเวิร์ม W32/Conflicker หรือ W32/Downadup.AL
W32/Downadup.AL เป็นโปรแกรมมัลแวร์แบบสแตนด์อะโลนเดี่ยว แพร่ระบาดเข้าไปติดเครื่องคอมพิวเตอร์โดยใช้ใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ถ้าการแพร่ระบาดสำเร็จจะทำการรีโมทเอ็กซีคิวต์โค้ดไวรัสเมื่อมีการเปิดใช้ งานการแชร์ นอกจากนี้บางสายพันธุ์ยังสามารถแพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพาได้ ด้วย เมื่อไวรัสติดคอมพิวเตอร์แล้วมันจะทำการปิดบริการต่างๆ ของระบบ ปิดโปรแกรมด้านรักษาความปลอดภัย และทำการดาวน์โหลดไฟลืมัลแวร์จากอินเทอร์เน็ต

ชื่อ: W32/Conflicker หรือ Worm:W32/Downadup.AL
ประเภท: Worm
ชนิด: Malware
แพลตฟอร์ม: W32
ชื่อทีโปรแกรมป้องกันไวรัสตรวจพบ: Net-Worm.Win32.Kido, Worm:W32/Downadup.AL

ชื่ออื่นๆ:
TA08-297A
CVE-2008-4250
VU827267
Win32/Conficker.A (CA)
Mal/Conficker (Sophos)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
W32/Conficker.worm.gen (Symantec)
Confickr

ระบบวินโดวส์ที่ได้รับผลกระทบ:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 และ Windows XP Service Pack 3
- Windows XP Professional x64 Edition และ Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 และ Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition และ Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 สำหรับ Itanium-based Systems และ Windows Server 2003 with SP2 สำหรับ Itanium based Systems
- Windows Vista และ Windows Vista Service Pack 1
- Windows Vista x64 Edition และ Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 สำหรับ 32-bit Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ x64-based Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ Itanium-based Systems

อาการมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL จะมีอาการดังต่อไปนี้
- เกิด Account lockout โดยไม่ทราบสาเหตุ
- เกิดการดิสเอเบิล Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender และ Error Reporting Services โดยไม่ทราบสาเหตุ
- เครื่องเซิฟร์เวอร์ Domain controllers ตอบสนองลูกข่ายช้าผิดปกติ
- ระบบเน็ตเวิร์กมีการรับ-ส่งข้อมูลมากผิดปกติ
- ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์

วิธีการแพร่ระบาด
ไวรัส W32/Conflicker หรือ W32/Downadup.AL นั้น มีวิธีการแพร่ระบาดหลายวิธีด้วยกัน ดังนี้
- แพร่ระบาดโดยใช้จุดพกพร่องของ Server Service (MS08-067)
- แพร่ระบาดผ่านทางการแชร์บนเครือข่าย
- แพร่ระบาดโดยใช้การทำงานของ AutoPlay

วิธีการป้องกัน
สำหรับ วิธีการป้องกันนั้น ให้ทำการแพตช์ระบบทันทีที่ทำได้ โดยอาจจะทำการดาวน์โหลดอัพเดทมาติดตั้งแบบแมนนวล หรือทำการติดตั้งผ่านทางเว็บไซต์ไมโครซอฟท์วินโดวส์อัพเดท
http://windowsupdate.microsoft.com

การติดตั้งอัพเดทแบบแมนนวล
การติดตั้งแบบแมนนวลนั้น มี 2 โหมด คือ Passive และ Quiet เมื่อติดตั้งเสร็จ ให้รีสตาร์ทเครื่องเพื่อให้การเปลี่ยนแปลงมีผล
? Passive เป็นการติดตั้งอัพเดทแบบอัตโนมัติและแสดงหน้าต่างแสดงสถานะการทำงาน คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /passive

? Quiet เป็นการติดตั้งอัพเดทแบบอัตโนมัติโดยไม่แสดงหน้าต่างแสดงสถานะการทำงาน (Silent Mode) คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /quiet

วิธีการแก้ไข
สำหรับท่านที่โดนเวิร์ม W32/Conflicker เล่นงาน สามารถแก้ไขโดยโดยดาวน์โหลดเครื่องมีอ Removal Tool ได้จากเว็บไซต์ต่างๆ ดังนี้
? F-Downadup ดาวน์โหลดได้ที่เว็บไซต์ (ต้องใช้เครื่องอื่นในการ Download?ไฟล์ เพราะถ้าติดแล้วจะเข้าเว็บเหล่านี้ไม่ได้)
??ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
? FSMRT ดาวน์โหลดได้ที่เว็บไซต์
? ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
? Malicious Software Removal tool ดาวน์โหลดได้ที่เว็บไซต์
? http://support.microsoft.com/kb/890830

แหล่งข้อมูลอ้างอิง
? http://www.f-secure.com/weblog/archives/00001576.html
? http://support.microsoft.com/kb/962007
? http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker


Virus Worm W32/Conflicker Downadup Prevention Remove Tool

ที่มา คุณ นิค ณ ระยอง
 

Advertisement